menu
Servizi

Audit e revisione privacy che cos’è e come funziona

La tua impresa ha l’esigenza di valutare la conformità alla gestione dei rischi e l’adeguatezza alle più recenti normative?
Indice dei
contenuti

Definizione di Audit e auditor

Oggi la parola audit, nell'ambito della normativa sulla privacy, indica lo strumento per valutare la conformità dell'azienda sotto il profilo del trattamento dei dati personali. 

Nella Roma antica era così chiamata la procedura di audizione dei risultati contabili, da parte di chi doveva controllare l’amministrazione del denaro pubblico.

Già in quest’epoca la contabilità era fondamentale per la corretta amministrazione dello Stato e poteva essere svolta soltanto da figure specializzate e competenti.


Perché è importante?

Lo scopo della procedura è valutare se la conservazione dei dati e i vari supporti che li contengono rispettino la normativa italiana e UE.

La valutazione riguarda sia i supporti tradizionali come quello cartaceo, sia i più recenti come quello informatico.

Inoltre, sarà necessario controllare anche la loro corretta gestione.


Chi è l'auditor

La valutazione di conformità può essere svolta soltanto da professionisti specializzati nella materia.

Il risultato della valutazione sarà l’indicazione specifica delle modifiche da apportare per rendere l’azienda adeguata alla normativa sulla privacy.

Il professionista incaricato di eseguire l’audit è detto auditor, letteralmente “colui che ascolta”.


I compiti dell’auditor

L’auditor ha il compito, attraverso un corretto e approfondito uso dell’audit, di mettere in evidenza le criticità e il mancato adeguamento agli obblighi normativi.

Ecco un breve elenco dei suoi interventi:

  • analisi di ogni aspetto della procedura di gestione documentale
  • verifica del flusso di dati personali dell’azienda
  • raccolta di tutte le informazioni necessarie all’adeguata conservazione dei dati personali
  • individuazione delle criticità della privacy policy aziendale

Conclusa la procedura di audit, l’azienda avrà tutte le informazioni e gli strumenti per evitare zone di rischio e conseguenti responsabilità legali.

Esistono tre tipologie di audit che ora analizzeremo.


Audit di primo livello o di prima parte (interno)

L’audit di primo livello è il controllo che l’azienda effettua sui propri dati e sui processi internamente. 

Questa tipologia di audit è la più semplice per il controllo della corretta conservazione dei dati.


I requisiti dell'auditor di primo livello

L’auditor che gestisce questa tipologia di valutazione può essere un professionista esterno ma anche un professionista interno all’azienda.

Nel caso in cui l’auditor sia interno all’azienda deve essere un esperto di data protection, a livello giuridico e informatico. 

Ecco sintetizzate, le caratteristiche richieste all’auditor:

  • competenze in materia di data protection
  • oggettività e imparzialità,
  • indipendenza rispetto al settore per cui esegue l'audit

Questi requisiti possono rendere difficoltoso, per l'azienda, individuare un professionista interno.

Per questo motivo, anche se non espressamente richiesto, questa fase può essere gestita da un auditor esterno.


Audit di secondo livello o di seconda parte (esterno)

Questa tipologia di audit, come si evince dal nome, deve essere eseguita da un auditor esterno.

Lo scopo è verificare il grado di qualità offerto dall’azienda oggetto di audit, per quanto riguarda la conservazione dei dati.

In questo caso, l’auditor è un professionista di un'azienda che vuole diventare partner o che lo è già.

Chiariamo meglio questo concetto.


Differenza fra audit di pre-qualificazione e audit di mantenimento

Audit di pre-qualificazione

L'audit di pre-qualificazione, viene eseguito da un auditor dell’azienda che è interessata a diventare partner. 

Facciamo un esempio per capire meglio cosa si intende per pre-qualificazione.

L'azienda di vendita al dettaglio Tutto a un euro srl vuole diventare cliente dell'azienda informatica Il Dischetto srl.

Prima di affidarle la gestione dei suoi dati, vuole sincerarsi che tali dati saranno gestiti in totale sicurezza.

Per questo motivo incarica un suo professionista di eseguire un audit di pre-qualificazione.

Il risultato permetterà una valutazione oggettiva delle procedure, dei rischi e della conseguente sicurezza nella gestione dei dati.

Più precisamente, possiamo dire che l'audit viene svolto quando due parti sono in trattativa, anteriormente alla stipula di un contratto.

Il suo obiettivo è quello di valutare l’opportunità di concludere l'accordo con un'azienda che soddisfi i requisiti di un accurato sistema di protezione dei dati.

È quindi utile, in fase di acquisizione di un nuovo cliente, avere un auditor che possa affiancare l’azienda.

Audit di mantenimento

In questo caso, l'auditor è un professionista che lavora per l’azienda già partner.

La funzione dell’audit, tra due aziende partner, è valutare il rispetto di conformità dei servizi forniti con quelli oggetto del contratto, così come previsto dal GDPR (Regolamento Generale sulla Protezione dei Dati). 

Il GDPR stabilisce come i dati personali debbano essere trattati, le modalità di raccolta, utilizzo, protezione e condivisione.

Nello specifico è l’art. 28 del GDPR che definisce le caratteristiche che il titolare del trattamento dei dati personali deve garantire al cliente.

Il titolare del trattamento deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.


Perché è importante l'audit di secondo livello

Ben si comprende come sia di estrema importanza l’esito positivo dell’audit di secondo livello, poiché coinvolge la valutazione degli obblighi precontrattuali e contrattuali tra fornitore e cliente.

L’esito negativo di un audit di mantenimento comporta immediate conseguenze che ricadranno sul Titolare dell’azienda che non abbia garantito la sicurezza nel trattamento dei dati.

Dall’esito dell’audit può emergere anche una responsabilità diretta del responsabile esterno del trattamento dei dati personali se verrà provato che abbia agito in modo difforme o contrario rispetto alle legittime istruzioni.


Audit di terzo livello o di terza parte

Questo tipo di audit non può essere affidato ad un professionista interno o esterno come per gli altri livelli.

Deve essere eseguito da un organismo di certificazione indipendente e accreditato.

L’auditor non può essere in alcun modo un soggetto che abbia legami con l’azienda.

L’esito dell’audit di terzo livello non si limiterà a suggerire le modalità di adeguamento e miglioramento, come nell’audit interno, o a individuare violazioni precontrattuali o contrattuali come nell'audit esterno.L’audit di terza parte, infatti, ha l'obiettivo di rilasciare una certificazione di qualità.


Adempimenti del titolare del DPO per la preparazione dell’audit

L’audit deve verificare l’adempimento di numerose procedure.

Qui di seguito, un elenco delle più rilevanti:

  • la compilazione conforme dei registri delle attività di trattamento
  • l’individuazione e formalizzazione dei ruoli riguardanti i soggetti che partecipano ai trattamenti di protezione dati
  • l’individuazione e applicazione delle basi giuridiche del trattamento dei dati
  • la corretta redazione delle informative da rilasciare agli interessati e le procedure per il rilascio
  • l'individuazione e l’implementazione delle misure tecniche e organizzative al fine di rispettare quanto stabilito dal GDPR UE/2016/679 (Regolamento generale sulla protezione dei dati) 
  • l’individuazione ed eventuale implementazione delle misure tecnico/organizzative dell’azienda che garantiscano il rispetto della sicurezza ex art. 25 GDPR (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) e della art. 32 GDPR (Sicurezza del trattamento)
  • analisi e redazione di un documento che esamini i rischi di violazione dei diritti e della libertà delle persone fisiche
  • la predisposizione di procedure adeguate al trattamento dei dati ex art. 9 GDPR (Trattamento di categorie particolari di dati personali) e ex art. 10 GDPR (Trattamento dei dati personali relativi a condanne penali e reati)
  • l’individuazione e formalizzazione delle misure per il trasferimento dei dati all’estero
  • la predisposizione della procedura per la corretta formulazione della richiesta del consenso all’utilizzo dei dati personali, quando sia richiesto

Designazione del DPO (Data Protection Officer)

Altrettanto rilevante è la designazione del DPO, in italiano RDP (Responsabile della Protezione dei Dati).

Per la valutazione delle caratteristiche e delle competenze del DPO, l'azienda deve fissare i criteri con cui individuare questa figura, indicando:

  • i compiti che dovrà svolgere 
  • la sua posizione in azienda

Un esempio pratico

Immagina di essere il titolare di un'azienda che abbia necessità di verificare l’adeguatezza delle proprie procedure di trattamento dei dati personali.

Per agire in conformità alle linee guida imposte dal Garante della Privacy per il trattamento dei dati personali di dipendenti, collaboratori e clienti, avrà la necessità di effettuare un audit.

Per questo motivo, dovrà rivolgersi a un professionista preparato e aggiornato che indichi la strada per evitare sanzioni e costruisca l’immagine migliore da presentare ai clienti.


Conclusioni

Le aziende che vogliono applicare nel modo corretto la normativa GDPR UE/2016/679 devono sottoporsi periodicamente all’Audit.

Soltanto questo controllo periodico potrà garantire all’azienda che la sua policy privacy sia corretta, permettendo la costruzione di un immagine solida per la gestione dati.

Ciò è fondamentale sia per quanto riguarda i dipendenti che i clienti.

Lo studio legale Polimeni.Legal ha professionisti competenti che svolgono da anni attività di audit in tutti gli ambiti in cui la normativa Privacy è essenziale.

A titolo esemplificativo si evidenziano i seguenti settori:

  • Verifica corretta gestione dati per siti web
  • Verifica corretta gestione e protezione dati sui Social network
  • Verifica gestione dati in software applicativi e gestionali

Per ricevere una consulenza a riguardo puoi contattarci attraverso il form qui sotto.

Servizi
Altri servizi Polimeni Legal
Esplora i nostri servizi legali mirati. Dal diritto d'autore digitale alla protezione dei dati, ti assistiamo nell'era digitale.
Sia che tu abbia bisogno di consulenza contrattuale, di assistenza nella risoluzione di dispute o di supporto nella gestione della privacy e della sicurezza dei dati, il nostro team di esperti è qui per aiutarti.
Vai a tutti i servizi
Adeguamento al GDPR: affidati agli specialisti
Adeguamento Privacy e GDPR aziendale: come fare
Audit e revisione privacy che cos’è e come funziona
Avvocato GDPR: Adeguamento e Normativa Cookie Policy
Brand reputation e tutela legale 
Chiusura account social, ecco come evitarlo
Compliance privacy per sito web, come funziona
Computer forensics: Avvocato Reati Informatici
Consulenza Concorrenza Sleale
Consulenza GDPR, il nostro servizio di Studio Polimeni
Contratto di consulenza professionale
Contratto di consulenza SEO
Contratto di e-mail marketing
Contratto di gestione delle campagne digitali
Contratto licenza software
Contratto realizzazione Siti Web
Contratto Social Media Marketing
Contratto sviluppo app: come funziona
Contratto web marketing
Diritto d’autore, come viene tutelato
Diritto di recesso
DPO (Data Protection Officer): cos’è e di cosa si tratta
Facebook
Frodi informatiche
Gambling, come si struttura un sito sul gioco
Il contratto di affiliate marketing
Il contratto di Hosting
Il contratto di influencer marketing
Il contratto di licenza d’uso dei diritti d’autore
Il contratto per le campagne di Google ADS
Instagram
La rimozione dai motori di ricerca
Le operazioni a premio
Pedopornografia online
Pinterest
Privacy per siti web: cosa dice l’informativa
Quali sono le caratteristiche di un contratto di Sviluppo Software
Registrare il marchio, come fare
Registrazione copyright, come funziona
Rimozione contenuti da bing
Rimozione contenuti da blog e forum
Rimozione contenuti da Google
Rimozione di contenuti online, ecco come fare
Sanzioni Agcom
Siti gaming, obblighi e sanzioni: cosa fare
Stesura termini condizioni di vendita online e-commerce
Tutela delle opere musicali: cosa devi conoscere
Vendere online in dropshipping, cos’è e come funziona
Vendita in marketplace
Youtube
Adeguamento al GDPR: affidati agli specialisti
Adeguamento Privacy e GDPR aziendale: come fare
Audit e revisione privacy che cos’è e come funziona
Avvocato GDPR: Adeguamento e Normativa Cookie Policy
Brand reputation e tutela legale 
Chiusura account social, ecco come evitarlo
Compliance privacy per sito web, come funziona
Computer forensics: Avvocato Reati Informatici
Consulenza Concorrenza Sleale
Consulenza GDPR, il nostro servizio di Studio Polimeni
Contratto di consulenza professionale
Contratto di consulenza SEO
Contratto di e-mail marketing
Contratto di gestione delle campagne digitali
Contratto licenza software
Contratto realizzazione Siti Web
Contratto Social Media Marketing
Contratto sviluppo app: come funziona
Contratto web marketing
Diritto d’autore, come viene tutelato
Diritto di recesso
DPO (Data Protection Officer): cos’è e di cosa si tratta
Facebook
Frodi informatiche
Gambling, come si struttura un sito sul gioco
Il contratto di affiliate marketing
Il contratto di Hosting
Il contratto di influencer marketing
Il contratto di licenza d’uso dei diritti d’autore
Il contratto per le campagne di Google ADS
Instagram
La rimozione dai motori di ricerca
Le operazioni a premio
Pedopornografia online
Pinterest
Privacy per siti web: cosa dice l’informativa
Quali sono le caratteristiche di un contratto di Sviluppo Software
Registrare il marchio, come fare
Registrazione copyright, come funziona
Rimozione contenuti da bing
Rimozione contenuti da blog e forum
Rimozione contenuti da Google
Rimozione di contenuti online, ecco come fare
Sanzioni Agcom
Siti gaming, obblighi e sanzioni: cosa fare
Stesura termini condizioni di vendita online e-commerce
Tutela delle opere musicali: cosa devi conoscere
Vendere online in dropshipping, cos’è e come funziona
Vendita in marketplace
Youtube